0 Пользователей и 1 Гость просматривают эту тему.
  • 29 Ответов
  • 5547 Просмотров
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Здравствуйте уважаемые дамы и господа!
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x
Адрес сайта, который взломали: http://33point6mlnclub.ru
Хакеры оставили следующие надписи на сайтах.
Ссылка на скриншот сайта после взлома № 1.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939850
Ссылка на скриншот сайта после взлома № 2.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939849
Дело в то, что движок на сайте клуба "33, 6 миллиона" абсолютно новый. Я его постоянно обновляю. Более того, я спрятал адрес входа в административную панель с помощью специального плагина.
Этот адрес вообще никто не знал кроме меня. Тем не менее хакеры умудрились найти вход в админку и взломали каким-то образом сайт. Обратите внимание, что они оставили надпись: "Hacker expert was here!". Что означает: "Хакер-эксперт был здесь!".
Уважаемые дамы и господа! Как грамотно защитить свои сайты от взломов? Какие последовательные шаги необходимо предпринять?
Спасибо, что уделили время на прочтение письма.
*

voland

  • Профи
  • 9497
  • 422
  • Эта строка съедает место на вашем мониторе
Варез использовался?
Какие версии движка и расширений стоят?
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Здравствуйте уважаемый Voland!
Версия CMS: Joomla! 3.4.1 Stable [ Ember ] 21-March-2015 20:30 GMT.
Варез не использовался. Шаблон бесплатный с официального сайта Hurricane Media.
Используются также следующие компоненты:
-Akeeba Backup;
- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
На хостинге 3 сайта.
CMS системы устанавливались автоматически из тех сборок, которые предлагала хостинговая компания (компания SWEB, входит в пятерку крупнейших хостинговых компаний России).
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
сканер айболит в помощь. А кто сказал что взлом через админку?
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Уважаемые дамы и господа!
Также информирую вас о следующем. Предыстория вопроса такова. некоторое время назад хостинговая компания жаловалась на то, что на сайты идет слишком большая нагрузка. Мы изучили log-файлы и пришли к выводу, что кто-то лезет в админку, подбирает пароль. Тогда мы предприняли следующие действия:
1. Сделали блокировку по IP адресам.
2. Я установил плагин, который меняет адрес входа в административную панель.
После предпринятых действий нагрузка на сервер снизилась.
Однако после нескольких месяцев произошел взлом.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Да вы правы. На самом деле мне неизвестно как они попали на сайт. Через админку или нет.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Спасибо за ссылку на сканер "Айболит".
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
Да уж, интересно где дырка. Скорее всего какое нибудь расширение. У вас там много всего. Лог запросов есть? Может форму авторизации на что главной ломали..
А ну и вот еще http://33point6mlnclub.ru/index.php/component/users/?view=login
« Последнее редактирование: 26.04.2015, 17:15:02 от zomby6888 »
интернет-блог: http://websiteprog.ru
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Здравствуйте!
Логи есть. Логи мы записываем на каждый сайт.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Добрый вечер.
Что касается данной ссылки: http://33point6mlnclub.ru/index.php/component/users/?view=login
Здесь у меня сделана регистрация для форума. Считаете что она плохо сделана? Лучше ее убрать на всякий случай? Тогда сайт останется без регистрации.
Честно говоря по формам регистрации я не специалист. Есть более надежные компоненты для форм регистрации на форуме Kunena?
*

voland

  • Профи
  • 9497
  • 422
  • Эта строка съедает место на вашем мониторе
- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.
Xmap же закрыт, причем вроде одна из причин была в уязвиморстях..
*

capricorn

  • Практически профи
  • 1687
  • 105
Цитировать
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x

обнаружен 26 апр или взломали 26 апр?
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
Есть более надежные компоненты для форм регистрации на форуме Kunena?

Есть большие сомнения по поводу надежности этого компонента.  CAPTCHA, что у вас там прикручена обходится на раз -  два. И вообще не факт что вас ломали подборкой паролей. Есть и другие способы.
интернет-блог: http://websiteprog.ru
*

capricorn

  • Практически профи
  • 1687
  • 105
надо ассess log посмотреть в интервале появления этой картинки. хотя, я думаю, ее появление совпало со взломом.
« Последнее редактирование: 26.04.2015, 20:21:07 от capricorn »
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
Какая версия Kunena кстатии? Я вот читаю там полно уязвимостей в третьей версии, причем довольно серьезные xss и sql инъекции возможны. вот например:
http://packetstormsecurity.com/files/127683/Joomla-Kunena-Forum-3.0.5-SQL-Injection.html
интернет-блог: http://websiteprog.ru
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Доброго времени суток!
Продолжу подробно отвечать на ваши вопросы. По поводу версий CMS Joomla. Нет, на всех трех сайтах самая последняя версия и сайты регулярно обновляются.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Отвечаю на ваш вопрос по поводу версии компонента "форум Kunena". Версия 3.0.8.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Уважаемый Сapricorn!
По поводу даты взлома. Скорей всего взлом сайта клуба произошел в период с 20 апреля 2015 г. по 26 апреля 2015 г. Когда точно, сказать трудно. Log файлы я еще не смотрел. Факт взлома был обнаружен мной сегодня (26 апреля 2015 г.).
*

capricorn

  • Практически профи
  • 1687
  • 105
я бы предложил поставить "растяжку" на случай повторного захода бота - скрипт в cron каждые 30 минут на обнаружение изменений в файлах с сообщением на почту. даже если взломали по ftp, все равно можно будет увидеть когда это произошло.

https://github.com/lucanos/Tripwire
« Последнее редактирование: 26.04.2015, 21:44:16 от capricorn »
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
а два других сайта на одном аккаунте какие?, могли также и через них ломануть!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

flyingspook

  • Moderator
  • 3619
  • 236
Ооо да тут "битва экстрасенсов".
Что гадать, судя по списку расширений, установлено масса "дырявых" и 100% не обновлялись, еще и движки не с оф. сайта
В чем вопрос то, вам аудит надо? Или погадать вместе с вами?
У вас в руках логи вот их и смотрите. Остальное все на ТНТ там все экстрасенсы.
Вам хостер про нагрузку писал, вы не стали смотреть/искать и устранять, а начали админки закрывать не понятно за чем переименовывать их, все намного проще ставите HTTP авторизацию на папку средствами Apache.
*

capricorn

  • Практически профи
  • 1687
  • 105
Цитировать
У вас в руках логи вот их и смотрите

Конечно. Найдем.
*

admi5575

  • Осваиваюсь на форуме
  • 26
  • 0
Здравствуйте уважаемые дамы и господа!
По данной теме у меня есть дополнительная информация. Спешу ей с вами по делиться. От хостинговой компании, где расположен сайт мне пришло письмо, о том, что "на аккаунте обнаружено вредоносное содержимое". Письмо пришло уже после хакерской атаки (27 апреля).
Вот фрагмент письма от хостинговой компании:
"В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
Ниже приведены пути к найденным файлам, а также их описание:

.../tmp/plupload/p19jku99t3j8a1vh1rmb4c21smm4.php : PHP.Hide"

Итак, вирус был обнаружен в папке tmp. Данный файл я удалил.
Возникает вопрос, как он мог туда попасть? Может быть у меня не были выставлены необходимые права для файлов и папок Joomla? Дело в том, что я почему-то решил, что при инсталляции третьей версии CMS Joomla права к папкам и файлам выставляются автоматически. Или я не прав? Посоветуйте, пожалуйста, где дополнительно почитать о том, как грамотно выставить права для папок Joomla третьей версии?

Более того, определил приблизительно дату хакерской атаки на сайт. Изменения в файле p19jku99t3j8a1vh1rmb4c21smm4.php были произведены 24 апреля 2015 года. Следовательно, скорее всего и атака была 24 апреля.

Уважаемые дамы и господа! Что вы можете посоветовать в свете вышесказанного?
*

flyingspook

  • Moderator
  • 3619
  • 236
Дату вы не определите по файлу, шел могли залить и пол года назад, а файл с "заразой" намного позже. Читайте логи ищите подтверждение своей даты, так и поймете дату взлома. Права на папки 755 на файлы 644 Joomla или другая cms разницы в правах нету, на некоторые файлы (если требуется) самостоятельно устанавливаются права 640 или 444 или 440, в каких либо дополнительных расширениях бывает что необходимо папки открывать на 777 но это не относится конкретно к Joomla.
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Дату вы не определите по файлу
Тут я с вами поспорю! дату создания файла можно определить, ее нельзя править, а дату доступа и дату модификации можно!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

flyingspook

  • Moderator
  • 3619
  • 236
Ни с кем спорить не буду, получится бесполезный холивар, просто файлы удаляются и заливаются, шелы по пол года на сайтах отлеживаются и потом применяются. И какую дату у каких файлов в этих случаях смотреть. Найдя файл с датой 01.01.1900 это не значит что у шела точно такая же дата, и не означает что файлы не модифицировали под сайт и не создавались с такой же датой как основные файлы сайта.
*

wishlight

  • Профи
  • 3632
  • 223
  • skype aqaus.com
Да, тут и правда больше демагогии. Securitycheck поставить и посмотреть список уязвимостей тоже можно. Дефейсят обычно по приколу. Обычно пытаются получить выгоду.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 488
Последний ответ 03.09.2017, 16:24:17
от Sorbon
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 191960
Последний ответ 06.08.2017, 12:41:32
от winstrool
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2208
Последний ответ 26.07.2017, 12:09:01
от winstrool
Вынос configuration.php за пределы корня сайта

Автор Sulpher

Ответов: 10
Просмотров: 11128
Последний ответ 18.06.2017, 22:24:19
от winstrool
sql injection for Joomla 3.7

Автор winstrool

Ответов: 5
Просмотров: 303
Последний ответ 22.05.2017, 21:49:11
от Septdir